Мы рассматривали возможность использования стороннего рекурсивного поставщика DNS, такого как OpenDNS (или любой другой), для обеспечения уровня антифишинга и проверки DNSSEC (без необходимости реализовывать эти функции внутри компании).
Чтобы обеспечить нормальную работу внутреннего (домена Windows) DNS, эти рекурсивные поставщики DNS обычно настраиваются в качестве серверов пересылки DNS в службе Windows DNS?
Есть ли какие-либо другие передовые практики или рекомендации при передаче рекурсивного DNS на аутсорсинг?
Чтобы ответить на ваш первый вопрос одним словом, «да».
Чтобы ответить на ваш второй вопрос, вопросы о лучших практиках обычно очень субъективны и не подходят для формата Stack Exchange. Эмпирическое правило состоит в том, что должен быть ответ, и это должно быть право ответ, а не совокупность мнений, из которых вы пытаетесь извлечь.
Тем не менее, есть два существенных предостережения относительно того, что вы делаете, и они достаточно значительны, поэтому я думаю, что стоит нанести удар.
Пока проверка заглушек не станет более распространенной в реализации поставщиками ОС, ответный пакет с AD Набор битов (аутентифицированных данных) в основном говорит следующее:
«Я доверял этим данным, так что вы тоже можете доверять этим данным! ... Если вы мне доверяете, и сеть между нами. "
Прочтите это очень внимательно. Если ваша цель - «[избежать] необходимости реализовывать эти функции внутри компании», убедитесь, что вы понимаете, что вы получаете от DNSSEC. Большинство людей этого не делает. Это означает, что вы более устойчивы к атакам на удаленный рекурсивный DNS-сервер, но вы все еще полностью открыты для атак отравления, направленных против ваш инфраструктура. Вероятность того, что кто-то специально нацелится на вас, конечно, намного ниже, но если предположить, что вы не являетесь целью, зависит только от того, сколько вы должны потерять, и от чьей-то заинтересованности в этом.
Эти риски значительно снижаются, если сетевой путь между вами и рекурсивным сервером, выполняющим проверку, не пересекает Интернет. Однако это взаимоисключающе по отношению к аутсорсингу, за исключением того, что сам трафик фактически шифруется.
Боковое примечание: OpenDNS реализует dnscrypt если вы заинтересованы в его использовании, но чтобы пойти по этому пути, вам нужно будет определить, что уровень сложности его реализации и поддержки по сравнению с простым выполнением собственной проверки DNSSEC стоит соотношения затрат и выгод.
Это универсальное правило для бизнес-ИТ-сред. Неудивительно, что это применимо и здесь. Если вы вводите внешнюю зависимость в свою сетевую инфраструктуру, что произойдет, когда эта служба выйдет из строя? Каков ваш путь исправления? Кто возместит ущерб? Если служба работает с точки зрения других, но не работает в узком смысле, что влияет только на вашу среду, как быстро вы можете ожидать, что удаленная сторона серьезно отнесется к вашему мнению и выполнит ремонт (SLA)?
Если вы собираетесь создать такую зависимость, убедитесь, что вы каким-то образом платите за услугу. Вы всегда отказываетесь от чего-то, добавляя внешнюю зависимость к своей сети без какой-либо подписки, и ваш выбор не делать этого - это взвешивать ваши шансы на игру.
Я оператор DNS в американском MSO. Тем не менее, такие люди, как я, на самом деле не получат финансовой выгоды от вашего следования этому совету. Миграция с DNS-кластера вашего интернет-провайдера снижает нагрузку на то, что мы управляем.
Настройте корневые ссылки DNS, это сокращает ваши административные расходы и обеспечивает лучшую доступность для внешних DNS-запросов.
для интервальных запросов DNS-серверы пересылки работают нормально